CVE-2026-4085 in Easy Social Photos Gallery Plugin信息

摘要

由 VulDB • 2026-05-16

WordPress 插件 Easy Social Photos Gallery 存在存储型跨站脚本漏洞（Stored Cross-Site Scripting）。该漏洞出现在 'my-instagram-feed' 短代码的 'wrapper_class' 短代码属性中，影响所有 3.1.2 及更早版本。这是由于对用户提供的属性缺乏足够的输入清理和输出转义所致。具体而言，该插件在输出位于双引号 HTML class 属性内的 'wrapper_class' 属性时，使用了 sanitize_text_field() 而非 esc_attr()。由于 sanitize_text_field() 不会对双引号进行编码，攻击者可以突破 class 属性的限制，注入任意的 HTML 事件处理程序。这使得具有贡献者（contributor）级别及以上权限的已认证攻击者能够在页面中注入任意 Web 脚本，当用户访问被注入的页面时，这些脚本将自动执行。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-03-12

披露

2026-04-22

管理

已接受

条目

VDB-358798

CPE

准备好

CWE

CWE-79 (已确认)

CVSS

6.4 (CNA)

EPSS

0.00014

KEV

否

活动

非常低

部门

Police, Lawfirm, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4085
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4085
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4085/

◂ 上一步一览下一步 ▸

Might our Artificial Intelligence support you?

Check our Alexa App!